前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。 ところが、ネットワーク上での攻撃や不正利用の手法は、他の技術の進歩と同様毎日のように新たな手法が考え出され、実行されている。snortのように予め記述されたルールに従って異常検出を行う構造を持つIDSは、ルールの設定後に開発された新たな手法による攻撃や不正利用を検出することができない。そのため、定期的なルールセットのメンテナンスがとても重要な意味を持つ。 前回の予告で、ルールの作成法について解説すると約束したが、先にルールセットのメンテナンスについて解説しよう。 snortのホームページ http://www.snort.org では、ほぼ毎週のように新しいルールセットが発表されており、それらは http://www.snort.org/Database/rules.asp から入手することができる。ここで入手できるルールセットは、snortのアーカイブに含まれているルールセットと若干構成が違っているので、使用にあたっては注意が要る。また現在提供されている最新のルールセットはsnort-1.7以降にのみ対応となっている。 ルールセットを実際にダウンロードするには上記URLからリンクで辿るか、 http://www.snort.org/snort-files.htm#Rules へ直接訪れ、以下のようなリンクを探し出しす。ルールセットが新しいものかどうかは改訂した日付の記載から判断できる。Snort.org Rulesets: snortrules.tar.gzUPDATED RULESET RELEASED 03/28/2001 [snortrules.tar.gz]をクリックしてルールアーカイブをダウンロードし、適当な作業用ディレクトリを作成してそこにsnortrules.tar.gzをコピーした後に解凍する。# tar -xvzf snortrules.tar.gz 今回入手したルールセットは以下のような構成を取っている。構成自体はsnort添付のルールセットと同様であるが、いくつかのジャンル構成が変更・追加されており、またファイル名が変更されている。それぞれのジャンルはファイル名から推測することが可能である。 原稿執筆時で最新の03/28/2001のルールアーカイブには何故かメインとなるsnort.confが含まれておらず、 http://www.snort.org/snort-files.htm#Rules で公開しているsnort.confが指定している構成が違うため、03/01/2001のsnortrules.tar.gzを例として解説する。snort.conf ルールセットのメインファイル |−local.rules 使用者がカスタマイズしたルールを記載する |−exploit.rules バッファーオーバーフロー等の攻撃検出用ルール |−scan.rules さまざまなスキャン行為検出用ルール |−finger.rules fingerを利用した不正行為検出用ルール |−ftp.rules ftpを利用した不正行為検出用ルール |−telnet.rules telnetを利用した不正行為検出用ルール |−smtp.rules smtpを利用した不正行為検出用ルール |−rpc.rules rpcを利用した不正行為検出用ルール |−rservices.rules r系のサービスを利用した不正行為検出用ルール |−backdoor.rules 様々なバックドアを検出するためのルール |−dos.rules DoSを検出するためのルール |−ddos.rules 分散DoSを検出するためのルール |−dns.rules dnsを利用した不正行為検出用ルール |−netbios.rules netbios関係の検出用ルール |−web-cgi.rules cgiを利用した不正行為検出用ルール |−web-coldfusion.rules | WebアプリケーションサーバColdFusionへの不正行為検出用ルール |−web-frontpage.rules | MS-Frontpageを悪用した行為の検出用ルール |−web-misc.rules httpに関するさまざまな不正行為検出用ルール |−web-iis.rules MS-IISサーバに対する不正行為検出用ルール |−icmp.rules icmpに対するスキャン行為等の検出用ルール |−misc.rules tracerouteやrootkitその他の検出用ルールofficeoffice@ukky.nethttp://www.office.ac/みっきーmicky@office.achttp://www.hawkeye.ac/micky/詳しくはScan本誌をご覧下さい。http://www.vagabond.co.jp/c2/scan/
